作者：高红海 
 
　　眼下，很多企业都在忙于内控实施前的学习和准备工作，会计师事务所也不闲着。与企业内控设计、评价有关的咨询市场以及内控实施后的审计市场，着实是一场丰盛大餐，而能否做到“急企业之所急，想企业之所想”，将是事务所在这场市场大战中赢得先机的关键。毫无疑问，作为内控实施的一个重要载体，信息系统将是事务所在“备战”中必须予以高度关注的。

　　为此，《中国会计报》记者采访了立信大华会计师事务所有限公司副董事长郭春亮，以期了解会计师事务所在这方面是怎么想、怎么做的。

　　《中国会计报》：您怎么看待内控与信息化的关系？

　　郭春亮：无论是企业的信息化还是内控，目标只有一个，那就是使企业更好地防范风险，更好地贯彻落实国家的法律法规，更好地提高经营效率和效益。

　　现在讲的信息系统尤其是与内控相关的信息系统，最早起源于会计电算化。上世纪80年代初期，电算化开始推行，计算机技术应用于会计核算，这可以说是管理信息化的雏形。

　　历经多次会计改革，会计记账方法由增减记账法改为借贷记账法，会计核算模式由资金平衡表发展到资产负债表……在这个不断演化的过程中，会计软件以及会计信息化也在不断地适应和跟进。而内控不是一个全新的概念，会计核算就是最基础的内控。

　　现在讲的内控，目标更明确，内容更全面，程序更规范，方法更科学。如过去的内控要么只讲合规，要么只讲风险管控，而现在的内控要实现三个目标，即合规、风险管控、经营效率和效益；过去的内控制度多出自不同部门，而现在的内控体系是财政部等五部委联合发布的，涵盖财务方面和非财务方面、会计信息系统和非会计信息系统等；国内企业现在完善内控有大量可资借鉴的成功或失败的案例，加之有《企业内部控制基本规范》及其相关配套指引的统领，实施内控的方法更现实、更科学。

　　值得一提的是程序更规范，这与信息系统紧密相关，如将控制手段、控制程序等原来需要手工做的东西都融入到计算机信息系统中。这样的话，之前没有进行管理信息化的企业，可以一切从头来，并可做到高起点、更完善、更规范。而一些已实施过管理信息化的上市公司等，可以在对信息系统进行升级改造的同时推进内控，并将内控专家、计算机信息系统专家、企业管理专家等吸纳进来，从而更好、更容易地贯彻内控。

　　《中国会计报》：为满足内控实施的要求，企业信息系统面临不同程度的升级改造，而企业该如何把握投入的重点呢？
 
郭春亮：我个人认为，单纯信息系统软件平台的升级改造不需要什么成本，硬件方面也不需要太多成本，真正需要花成本的是流程再造。可以这么说，内控实施的难点不在于计算机，而在于人的操作，如果将内控指标和程序设置好，并用手工画到纸上，使之变成计算机信息系统设计人员能够看得懂的语言和流程，那么，信息系统设计人员就可以将其固化在信息系统中去。

　　也可以得出这样的结论：这次内控实施，难点不在于改造信息系统，而在于改造实质性的控制指标和流程、评价指标、评价流程。以战略管理为例，要先看战略管理要抓住哪些环节、风险点、控制流程、关键点等，把它做成流程图，让懂内控的人一看就明白，让信息系统设计人员能够理解。

　　对于咨询方来说，可以为企业提供内控信息系统的设计方案，而方案要保证内控的可靠性、全面性、科学性，就比如设计的房子能抗震、适合居住一样。根据咨询方所提供方案设计的软件，到了企业都要进行初始化，进行个性化设置。企业要根据自己的实际，设定具体风险点、控制节点等。

　　《中国会计报》：对于不同的企业来说，企业管理者偏好不同，设定的内控信息系统不同，控制的具体路径不同，那么，其内控信息系统是否安全有效？

　　郭春亮：目前，国家对软件企业要求认证，对企业的管理信息系统还没有特别认证，每一家企业的信息系统可能很不一样。但在企业内控基本规范及其配套指引中，注册会计师审计是提升内控有效性的重要制度安排，那么，注册会计师要按照内控审计指引的要求去审计企业内控包括内控信息系统，一方面要看信息系统符不符合内控规范要求，另一方面要看信息系统符不符合软件设计的一般规律，即审计信息系统是否安全有效。

　　从这个角度看，内控审计人员不仅要懂会计，还要懂管理，更要懂信息系统。在国外，对于信息系统的审计需要具备CISA（国际注册信息系统审计师）资格。中国目前没有这方面的资格考试，但也有一些注册会计师在萨班斯法案的合规遵循中自我学习，并考取了相关证书。这对注册会计师的胜任能力提出了要求，国内的注册会计师考试将来也可能会涉及这方面的内容。

　　《中国会计报》：内控审计和财务报告审计有何不同？事务所在内控审计方面该注意什么？

　　郭春亮：会计系统本身是内控的一个重要系统，正是因为会计控制不足以实现控制目标，所以才会有财政部等部门发布的企业内控规范及其配套指引。影响企业的有很多是非会计事项，内控不仅要对会计事项予以控制，还要对非会计事项予以控制。

　　内控审计可能不会像会计科目的审计那样具体，其具有一定的自由度，从而对注册会计师的专业判断能力提出更高要求。如果说过去的财务报告审计有四到六成靠专业判断的话，内控审计恐怕要有八成靠专业判断。如判断对某个节点的控制能否达到效果，这就如同从北京到上海，无论坐飞机、坐火车还是坐汽车，总之安全到达目的地就行，这就是内控审计者的思路。在具体的审计中，如果选择的是坐飞机方式，那么就要看选择的飞机是哪个航空公司的、是什么型号飞机、是否有经营执照、新旧程度如何等，从而预期其能否安全到达。

　　内控无定式，比如两个人建筑房屋，一个人挣钱，一个人没挣到钱，他们分别执行的两套程序可能都合规，但差异就在于效率和效益上。所以说，依据内控的目标，内控审计的第一个目标是合规，第二个目标是风险管控，第三个目标是经营效率和效益。